企業(yè)網(wǎng)站建設網(wǎng)站梳理與備案
日期 : 2021-04-26 21:23:22
網(wǎng)站梳理與備案。高校網(wǎng)站數(shù)量眾多、建設單位不一、建設時期不同、采用技術多樣,因此安全管理的第一步是全方位梳理網(wǎng)站信息。通過從網(wǎng)絡設備、業(yè)務應用、服務端口等多維度進行全面審查,匯總高校網(wǎng)站資產(chǎn)基本信息。資產(chǎn)狀態(tài)梳理包括記錄在線網(wǎng)站使用情況,對不在線網(wǎng)站,確認不再使用后,做退出和歸檔處理。設備梳理包括對設備類型、品牌、型號、操作系統(tǒng)版本進行詳細分類,為后續(xù)快速定位設備系統(tǒng)漏洞提供數(shù)據(jù)支撐。
業(yè)務應用梳理則是關注業(yè)務所屬類型、制作者、開發(fā)框架、開發(fā)語言、中間件、域名等信息,方便快速定位Web應用漏洞。服務端口梳理包括常用端口、非標準端口、不合規(guī)端口,整改或關閉非標、不合規(guī)端口以減少攻擊目標,對常用端口進行監(jiān)控管理。口令梳理包括記錄網(wǎng)絡設備及服務器口令、業(yè)務系統(tǒng)口令、數(shù)據(jù)庫口令,為弱口令治理提供依據(jù)。
對網(wǎng)站信息進行梳理后,則對學校所有網(wǎng)站進行備案登記,進行統(tǒng)一部署、統(tǒng)一防護,切實落實網(wǎng)站安全管理責任。在網(wǎng)站和應用系統(tǒng)的生命周期內(nèi),真正落實“誰主管誰負責、誰運維誰負責、誰使用誰負責”。備案內(nèi)容包括但不限于網(wǎng)站名稱、域名、網(wǎng)站建設單位、單位負責人、啟用時間、開發(fā)語言、是否含有數(shù)據(jù)庫及數(shù)據(jù)庫類型、應用服務器IP、操作系統(tǒng)類型、是否通過安全監(jiān)測等。
業(yè)務應用梳理則是關注業(yè)務所屬類型、制作者、開發(fā)框架、開發(fā)語言、中間件、域名等信息,方便快速定位Web應用漏洞。服務端口梳理包括常用端口、非標準端口、不合規(guī)端口,整改或關閉非標、不合規(guī)端口以減少攻擊目標,對常用端口進行監(jiān)控管理。口令梳理包括記錄網(wǎng)絡設備及服務器口令、業(yè)務系統(tǒng)口令、數(shù)據(jù)庫口令,為弱口令治理提供依據(jù)。
對網(wǎng)站信息進行梳理后,則對學校所有網(wǎng)站進行備案登記,進行統(tǒng)一部署、統(tǒng)一防護,切實落實網(wǎng)站安全管理責任。在網(wǎng)站和應用系統(tǒng)的生命周期內(nèi),真正落實“誰主管誰負責、誰運維誰負責、誰使用誰負責”。備案內(nèi)容包括但不限于網(wǎng)站名稱、域名、網(wǎng)站建設單位、單位負責人、啟用時間、開發(fā)語言、是否含有數(shù)據(jù)庫及數(shù)據(jù)庫類型、應用服務器IP、操作系統(tǒng)類型、是否通過安全監(jiān)測等。